Stemomgeving RUG is fraudegevoelig
Deel je directe WebElect-link niet
Stemomgeving RUG is fraudegevoelig
Studenten kunnen sinds maandag online stemmen voor de verkiezingen van de universiteitsraad en de eigen faculteitsraad. Hiervoor heeft iedere student een mail ontvangen met toegang naar stemomgeving WebElect. Klik je op de knop ‘kies nu’, dan moet je eerst je universiteit kiezen, dan inloggen met je studentnummer en wachtwoord en kom je vervolgens in de stemomgeving terecht.
Tot nu toe niets aan de hand. Toch ontstaat er wel een probleem als je de directe URL naar jouw WebElect-omgeving met iemand deelt. De URL bevat namelijk zowel je gebruikersnaam als je wachtwoord, waardoor je niet in hoeft te loggen om op de stempagina uit te komen. Zou je de URL dus kopiëren en de link met iemand anders delen, dan kan ook die persoon zonder moeite in jouw stemomgeving terecht.
Programma schrijven
Hoewel dit een kwalijke zaak is, lijkt de oplossing ook simpel: deel je persoonlijke link met niemand.
Maar, stelt David Jan Meijer van De Vrije Student, het probleem is nog groter. ‘Omdat ik nu weet hoe de gebruikersnaam en wachtwoorden eruit zien, zou ik een programmaatje kunnen schrijven dat mij de inloggegevens van alle studenten voor WebElect geeft. Daarmee zou ik in principe voor iedere student die nog niet heeft gestemd een stem uit kunnen brengen.’
Meijer zag deze valkuil al aankomen toen de verkiesbare studenten een aantal weken geleden kandidatenlijsten in konden vullen en nam toen contact op met WebElect. ‘Na een aantal keer moeizaam contact zeiden ze tegen me dat ze dat voor de verkiezingen niet meer konden aanpassen. Daarna kon ik geen contact meer met ze krijgen.’
Beter van niet
De universiteit erkent het probleem. ‘Als een student die URL kopieert en vervolgens met een vriend deelt, dan kan die vriend daarmee inderdaad op de stempagina van de oorspronkelijke persoon komen’, schrijft een woordvoerder. ‘Het zou beter zijn als dit niet zou kunnen, ook al is het een heel bewuste keuze van de oorspronkelijke persoon om de URL door te sturen.’
Als een student zijn of haar stem al heeft uitgebracht, kan die stem overigens niet worden gewijzigd. Gestemd is gestemd. De pagina laat dan zien dat er geen keuzemogelijkheden meer zijn. Ook kun je niet zien op welke partij en welke persoon de desbetreffende student heeft gestemd.